GIS-P-ISP-09. Procedimento de Classificação da Informação

Transcrição

1 Revisão: 01 Folha: 1/ 13 Revisado em: 24/06/2013 GIS-P-ISP-09 Procedimento de Classificação da Informação

2 Revisão: 01 Folha: 2/ 13 Revisado em: 24/06/2013 FOLHA DE CONTROLE Histórico de Revisões Data Versão Descrição Autor Aprovado por: 22/05/2013 Draft 01 Primeira elaboração ICTS /05/2013 Draft 02 Segunda elaboração ICTS /06/2013 Draft 03 Terceira elaboração ICTS /06/2013 Draft 04 Quarta elaboração Bernardo Horta /06/2013 Versão 01 Primeira publicação Marcus Aureliano Raul Santos

3 Revisão: 01 Folha: 3/ 13 Revisado em: 24/06/2013 Índice 1. OBJETIVO 4 2. PÚBLICO ALVO 4 3. DEFINIÇÕES DE TERMOS 4 4. NÍVEIS DE CLASSIFICAÇÃO DA INFORMAÇÃO 5 5. PROCEDIMENTOS PARA CLASSIFICAÇÃO DA INFORMAÇÃO 6 6. PROCEDIMENTOS PARA A PROTEÇÃO DA INFORMAÇÃO CLASSIFICADA 6 7. RÓTULOS VIOLAÇÕES E SANÇÕES DOCUMENTOS DE REFERÊNCIA 13

4 Revisão: 01 Folha: 4/ 13 Revisado em: 24/06/ OBJETIVO Estabelecer os procedimentos a serem executados para a classificação das informações da 2. PÚBLICO ALVO Todos os empregados e prestadores de serviço que geram ou manipulam informações de propriedade da MAGNESITA, independentemente do seu formato, meio de armazenamento ou conteúdo. 3. DEFINIÇÕES DE TERMOS Ciclo de vida da informação: São todas as etapas que uma dada informação deve percorrer; sendo elas: Criação, Uso, Armazenamento, Transporte e Descarte. Classificação da informação: É a definição do grau de sigilo adequado para estabelecer as medidas de proteção adequadas para as informações. Custodiante: Usuário responsável por um determinado recurso de Tecnologia da informação e/ou a própria informação. Assume a responsabilidade de zelo e preservação das propriedades de confidencialidade, disponibilidade e integridade. Proprietário da informação: Gestor da área de negócio com conhecimento delineado sobre a criticidade da informação tratada nesta aplicação aos negócios da companhia, bem como as atribuições e privilégios dos empregados que detém acesso a tal. Recursos de Tecnologia da informação: Sistemas internos, equipamentos de conectividade e segurança, rede local, serviços para acesso remoto, servidores de arquivo e impressão, serviços de internet, serviços de correio eletrônico, conteúdo eletrônico de documentos, telefones celulares, tablets, iphones, smartphones, mídias removíveis, notebooks, netbooks e desktops. Responsável pelo sistema: Usuário, usuários chave, área de desenvolvimento ou de negócio responsável pelas modificações nos sistemas.

5 Revisão: 01 Folha: 5/ 13 Revisado em: 24/06/ NÍVEIS DE CLASSIFICAÇÃO DA INFORMAÇÃO Conforme detalhado na Norma Classificação da Informação (GIS-N-ISP-05) são definidos três (3) níveis de classificação para as informações da MAGNESITA, que devem ser atribuídos conforme o seu teor e público ao qual seu acesso é permitido no momento de sua utilização: PÚBLICA Este nível de classificação corresponde a informações criadas para fins de distribuição pública, por meio de canais autorizados, que não necessitam proteção efetiva ou tratamento específico. Caso seja publicada ou objeto de um incidente de perda ou vazamento, não resultará em impactos significativos à reputação, imagem, funções e/ou atividades dos empregados, ou perdas financeiras. INTERNA Este nível de classificação corresponde a informações usadas rotineiramente pelos empregados e prestadores de serviços na condução das atividades da empresa, não se destinando, contudo, ao público externo. Se for objeto de um incidente de perda, ou divulgação indevida, não causa impactos à reputação, imagem, funções e/ou atividades da MAGNESITA, mas é de uso e divulgação exclusiva ao público interno. CONFIDENCIAL Este nível de classificação corresponde a informações associadas ao interesse estratégico da empresa e outras informações sujeitas a alto grau de sigilo, em geral de acesso restrito ao diretor presidente, diretores executivos, diretores e funcionários cujas funções requeiram conhecê-las. Se for objeto de um incidente de perda ou divulgação indevida, podem resultar em danos irreparáveis ou de grande relevância à estratégia, reputação, imagem e resultados da MAGNESITA, podendo até mesmo interromper suas atividades.

6 Cópia de Segurança (Backup) CLASSIFICAÇÃO DA INFORMAÇÃO Elaborado em: 07/06/2013 Revisão: 01 Folha: 6/ 13 Revisado em: 24/06/ PROCEDIMENTOS PARA CLASSIFICAÇÃO DA INFORMAÇÃO Os procedimentos abaixo devem ser observados para a classificação da informação: Ação a ser realizada Responsável Quando deve ser executado Instruções Definir o nível de classificação da informação e os usuários que terão acesso Rotular a informação Proprietário da Informação Empregados e prestadores de serviço responsável pela criação/obtenção da informação Durante a criação/obtenção/uso da informação Após a definição do nível de classificação da informação e usuários que terão acesso 1. Analisar o conteúdo da informação. 2. Definir nível da classificação da informação e os usuários autorizados a acessá-la. 3. Em caso de dúvida, a área de Segurança da Informação deve ser contatada. NOTA: Ver Fluxo de decisão para Classificação da Informação. 1. Inserir rótulos de acordo com o nível de classificação definido, conforme modelo disponibilizado neste Procedimento. 2. Em caso de dúvida, o Proprietário da Informação deve ser procurado. Proteger a informação Empregados e prestadores de serviço da MAGNESITA Durante todo o seu ciclo de vida 1. Proteger a informação de acordo com o nível de classificação definido pelo Proprietário da Informação, conforme definido nesse procedimento. 6. PROCEDIMENTOS PARA A PROTEÇÃO DA INFORMAÇÃO CLASSIFICADA Os procedimentos abaixo devem ser observados: Opcional. Obrigatória. Obrigatória. Caso seja necessário, será requisitada a área responsável pelo proprietário da informação. A cópia de segurança deve ser realizada de acordo com definições da Diretoria Global de Tecnologia da Informação. A cópia de segurança é realizada apenas das informações armazenadas no Servidor de Arquivos e Servidor de s da A cópia de segurança deve ser realizada de acordo com definições da Diretoria Global de Tecnologia da Informação, e deve ser criptografada quando for viável. A cópia de segurança é realizada apenas das informações armazenadas no Servidor de Arquivos e Servidor de s da Tabela de Proteção à Informação Cópias de Segurança (Backup)

7 Uso Rotulação CLASSIFICAÇÃO DA INFORMAÇÃO Elaborado em: 07/06/2013 Revisão: 01 Folha: 7/ 13 Revisado em: 24/06/2013 Obrigatória. Opcional. Obrigatória. Deve possuir um rótulo de classificação no rodapé da mensagem de e- mail, com o termo Publico, conforme item 7 desse procedimento. Deve possuir um rótulo de classificação no rodapé da mensagem de e- mail, com o termo Interno, conforme item 7 desse procedimento. Deve possuir um rótulo de classificação no rodapé da mensagem de e- mail, com o termo Confidencial, conforme item 7 desse procedimento. Deve possuir um rótulo de classificação no rodapé de todas as páginas do documento, com o termo Publico, conforme item 7 desse procedimento. Deve possuir um rótulo de classificação impresso no rodapé de todas as páginas do documento ou uma marca de carimbo, com o termo Público. Caso a origem do documento seja de fora da MAGNESITA, devem-se utilizar os carimbos com o termo Público em todas as páginas do documento. Caso o documento seja anterior a esse procedimento, devem-se utilizar os carimbos com o termo Público em todas as páginas do documento, no momento em que for manipulado. O assunto do não deve conter nenhuma identificação que possa indicar a sua classificação. Deve possuir um rótulo de classificação no rodapé de todas as páginas do documento, com o termo Interno, conforme item 7 desse procedimento. Deve possuir um rótulo de classificação impresso no rodapé de todas as páginas do documento ou uma marca de carimbo, com o termo Interno. Caso a origem do documento seja de fora da MAGNESITA, devem-se utilizar os carimbos com o termo Interno, em todas as páginas do documento. Caso o documento seja anterior a esse procedimento, devem-se utilizar os carimbos com o termo Interno em todas as páginas do documento no momento em que for manipulado. O assunto do não deve conter nenhuma identificação que possa indicar a sua classificação. Deve possuir um rótulo de classificação no rodapé de todas as páginas do documento, com o termo Confidencial, conforme item 7 desse procedimento. Deve possuir um rótulo de classificação impresso no rodapé de todas as páginas do documento ou uma marca de carimbo, com o termo Confidencial. Caso a origem do documento seja de fora da MAGNESITA, devem-se utilizar os carimbos com o termo Confidencial em todas as páginas do documento. Caso o documento seja anterior a esse procedimento, devem-se utilizar os carimbos com o termo Confidencial em todas as páginas do documento no momento em que for manipulado. NOTA: Documentos não rotulados são considerados como Internos. Tabela de Proteção à Informação Rotulação Sem restrições. Restrito a empregados, prestadores de serviço da Restrito a empregados, prestadores de serviço e instituições envolvidas

8 Cópia de Segurança (Backup) U s CLASSIFICAÇÃO DA INFORMAÇÃO Elaborado em: 07/06/2013 Revisão: 01 Folha: 8/ 13 Revisado em: 24/06/2013 Deve-se manter descrição e sigilo sobre o conteúdo. Os s só podem ser enviados para endereços de correio eletrônico internos da Caso o necessite ser enviado para fora da MAGNESITA ele deve ser reclassificado pelo Proprietário da Informação. Documentos eletrônicos e impressos: Só podem ser acessados e/ou lidos por empregados e prestadores de serviço da mediante autorização do proprietário da informação. Deve-se manter sigilo absoluto sobre o conteúdo. Evitar que o assunto do indique o seu conteúdo. Os s só podem ser enviados para endereços de correio eletrônico permitido pelo proprietário da informação. Caso o necessite ser enviado para outras pessoas ele deve ser autorizado pelo proprietário da informação. Documentos eletrônicos e impressos: Só podem ser acessados e/ou lidos por empregados, prestadores de serviço e/ou instituições autorizadas pelo proprietário da informação. Evitar que o nome do documento eletrônico indique o seu conteúdo. Tabela de Proteção à Informação Uso Opcional. Obrigatória. Obrigatória. Caso seja necessário, será requisitada a área responsável pelo proprietário da informação. A cópia de segurança deve ser realizada de acordo com definições da Diretoria Global de Tecnologia da Informação. A cópia de segurança é realizada apenas das informações armazenadas no Servidor de Arquivos e Servidor de s da A cópia de segurança deve ser realizada de acordo com definições da Diretoria Global de Tecnologia da Informação, e deve ser criptografada quando for viável. A cópia de segurança é realizada apenas das informações armazenadas no Servidor de Arquivos e Servidor de s da Tabela de Proteção à Informação Cópias de Segurança (Backup)

9 Armazenamento CLASSIFICAÇÃO DA INFORMAÇÃO Elaborado em: 07/06/2013 Revisão: 01 Folha: 9/ 13 Revisado em: 24/06/2013 Sem restrições. Deve ter o acesso restrito, controlado e monitorado continuamente. Os acessos devem ser auditados anualmente pela área de auditoria interna da O armazenamento deve ser revisto periodicamente. Deve ser armazenado em local apropriado definido pelo proprietário da informação. Deve ser armazenado e estar disponível na rede da Somente pode ser armazenado em estações de trabalho e/ou dispositivos portáteis autorizados pelo Proprietário da Informação. Deve ser armazenado em local apropriado definido pelo proprietário da informação. Deve ter o acesso restrito, controlado e monitorado continuamente. Os acessos devem ser auditados anualmente pela área de auditoria interna da O armazenamento deve ser revisto periodicamente. Deve ser armazenado, preferencialmente criptografado quando for viável, em local apropriado definido pelo proprietário da informação. Deve ser armazenado, preferencialmente criptografado quando for viável, e estar disponível na rede da Somente pode ser armazenado em estações de trabalho e/ou dispositivos portáteis autorizados pelo Proprietário da Informação. Não é permitido em qualquer tipo de dispositivos ou acessórios pessoais. Deve ser armazenado em local apropriado definido pelo proprietário da informação. Tabela de Proteção à Informação - Armazenamento

10 Transporte CLASSIFICAÇÃO DA INFORMAÇÃO Elaborado em: 07/06/2013 Revisão: 01 Folha: 10/ 13 Revisado em: 24/06/2013 Sem restrições. Restrito a empregados e prestadores de serviço da Deve ser realizado através de mensagens de correio eletrônico interno, mediante uso de rótulo. Deve ser realizado, somente, através de mensagens de correio eletrônico interno, mediante uso de rótulo. Para transporte através de dispositivos móveis somente mediante autorização do proprietário da informação. Restrito a empregados, prestadores de serviço e instituições envolvidas mediante autorização do proprietário da informação. Deve ser realizado através de mensagens de correio eletrônico interno, mediante uso de rótulo e monitoramento da transmissão. Deve ser realizado, somente, através de mensagens de correio eletrônico interno, mediante uso de rótulo, monitoramento da transmissão e criptografado quando viável. Não é permitido o transporte através de dispositivos móveis. Para transporte externo, deve ser realizado o envio via correios, mediante correspondência registrada e com aviso de recebimento. Para transporte interno, deve ser realizado o envio por meio de envelopes lacrados, cuja identificação da classificação será exposta apenas internamente. Tabela de Proteção à Informação - Transporte

11 Descarte Reprodução CLASSIFICAÇÃO DA INFORMAÇÃO Elaborado em: 07/06/2013 Revisão: 01 Folha: 11/ 13 Revisado em: 24/06/2013 Sem restrições. Restrito a empregados e prestadores de serviço da MAGNESITA Deve ser realizada mediante ciência e aprovação do proprietário da informação. Não deve afetar a integridade das informações. Restrito aos empregados prestadores de serviço e instituições envolvidas da Deve ser realizada mediante aprovação do proprietário da informação e deve ser preferencialmente criptografada quando for viável. Não deve afetar a integridade das informações. Tabela de Proteção à Informação - Reprodução Sem restrições. Documentos impressos, eletrônicos e s: Não deixar desassistidos em lugares de livre circulação pública; Fragmentar os impressos de forma a não poderem ser lidos ou recuperados. Restrito a empregados e prestadores de serviço mediante autorização do proprietário da informação. Documentos impressos, eletrônicos e s: Não deixar desassistidos em lugares de livre circulação pública; Fragmentar os impressos de forma a não poderem ser lidos ou recuperados. Deve ser apagada de forma segura, de modo a não poder ser recuperada. Mídias portáteis devem ser formatadas e/ou destruídas, impossibilitando seu uso. Tabela de Proteção à Informação - Descarte

12 Revisão: 01 Folha: 12/ 13 Revisado em: 24/06/ RÓTULOS Documentos eletrônicos: Todos os documentos devem conter em seu rodapé o seguinte rótulo: CLASSIFICAÇÃO DO DOCUMENTO: INTERNA ou PÚBLICA ou CONFIDENCIAL Exemplo: Nota: O modelo a ser utilizado sempre deve seguir a Identidade visual disponibilizada na Intranet. Todos as mensagens de devem conter logo abaixo em seu rodapé o seguinte rótulo: CLASSIFICAÇÃO DO INTERNA ou PÚBLICA ou CONFIDENCIAL Exemplo:

13 Revisão: 01 Folha: 13/ 13 Revisado em: 24/06/ VIOLAÇÕES E SANÇÕES Quando houver violação das diretrizes descritas neste documento, os empregados e prestadores de serviços da MAGNESITA estarão sujeitos às sanções administrativas e/ou contratuais conforme os procedimentos disciplinares locais. Em nenhum momento será admitido, a qualquer usuário, evocar o desconhecimento desta Norma para justificar violações ou sua falta de cumprimento. 9. DOCUMENTOS DE REFERÊNCIA Política Segurança da Informação (GIS-N-ISP-01); Norma Classificação da Informação (GIS-N-ISP-05).